Procedimientos recomendados de seguridad en Azure Automation
Importante
Las cuentas de ejecución de Azure Automation, incluidas las cuentas de ejecución clásicas, se retiraron el 30 de septiembre de 2023 y se reemplazaron por identidades administradas. Ya no se podrán crear o renovar cuentas de ejecución a través de Azure Portal. Para obtener más información, consulta migrar de una cuenta de ejecución existente a una identidad administrada.
En este artículo se detallan los procedimientos recomendados para ejecutar de forma segura los trabajos de automatización. Azure Automation proporciona la plataforma para organizar tareas operativas y de administración de infraestructuras frecuentes, lentas y propensas a errores, así como operaciones críticas. Este servicio permite ejecutar scripts, conocidos como runbooks de automatización sin problemas en entornos híbridos y en la nube.
Los componentes de plataforma del servicio Azure Automation se protegen activamente. El servicio pasa por comprobaciones sólidas de seguridad y cumplimiento. Microsoft Cloud Security Benchmark detalla los procedimientos recomendados y las recomendaciones para ayudar a mejorar la seguridad de las cargas de trabajo, los datos y los servicios en Azure. Consulte también Línea base de seguridad de Azure para Azure Automation.
Configuración segura de la cuenta de Automation
Esta sección le guía en la configuración de la cuenta de Automation de forma segura.
Permisos
Siga el principio de privilegios mínimos para realizar el trabajo al conceder acceso a los recursos de Automation. Implemente los roles RBAC detallados de Automation y evite asignar roles o ámbitos más amplios, como el nivel de suscripción. Al crear los roles personalizados, incluya solo los permisos que necesitan los usuarios. Al limitar los roles y los ámbitos, también se limitan los recursos en riesgo si la entidad de seguridad llegara a verse comprometida. Para obtener información detallada sobre los conceptos de control de acceso basado en rol, consulte Procedimientos recomendados para el control de acceso basado en roles de Azure.
Evite los roles que incluyen acciones que tienen un carácter comodín (*), ya que implica el acceso total al recurso de Automation o a un subrecurso, por ejemplo automationaccounts/*/read. En su lugar, use acciones específicas solo para el permiso necesario.
Configure el acceso basado en roles en un nivel de runbook si el usuario no requiere acceso a todos los runbooks de la cuenta de Automation.
Limite el número de roles con privilegios elevados, como colaborador de Automation, para reducir la posibilidad de infracción por parte de un propietario en peligro.
Use Microsoft Entra Privileged Identity Management para proteger las cuentas con privilegios frente a ataques cibernéticos malintencionados para aumentar la visibilidad de su uso a través de informes y alertas.
Protección del rol de Hybrid Runbook Worker
Instale instancias de Hybrid Worker mediante la extensión de máquina virtual de Hybrid Runbook Worker, que no tiene ninguna dependencia en el agente de Log Analytics. Se recomienda esta plataforma a medida que aprovecha la autenticación basada en Microsoft Entra ID. La característica Hybrid Runbook Worker de Azure Automation permite ejecutar runbooks directamente en la máquina que hospeda el rol en Azure o en una máquina que no es de Azure para ejecutar trabajos de Automation en el entorno local.
- Use solo usuarios con privilegios elevados o roles personalizados de Hybrid Worker para los usuarios responsables de administrar operaciones como registrar o anular el registro de Hybrid Worker y grupos híbridos y ejecutar runbooks en grupos de Hybrid Runbook Worker.
- El mismo usuario también requeriría acceso de colaborador de máquina virtual en la máquina que hospeda el rol de Hybrid Worker. Puesto que el colaborador de la máquina virtual es un rol con privilegios elevados, asegúrese de que solo un conjunto de derechos limitado de usuarios tenga acceso para administrar trabajos híbridos, lo que reduce la posibilidad de vulneración por parte de un propietario en peligro.
Siga el principio de privilegios mínimos y conceda solo los permisos necesarios a los usuarios para la ejecución de runbooks en Hybrid Worker. No proporcione permisos sin restricciones a la máquina que hospeda el rol de Hybrid Runbook Worker. En caso de acceso sin restricciones, un usuario con derechos de colaborador de máquina virtual o que tenga permisos para ejecutar comandos en la máquina de Hybrid Worker puede utilizar el certificado de ejecución de la cuenta de Automation de la máquina de Hybrid Worker y podría permitir potencialmente el acceso de un usuario malintencionado como colaborador de la suscripción. Esto podría poner en peligro la seguridad del entorno de Azure. Use los roles personalizados de Hybrid Worker para los usuarios responsables de administrar runbooks de Automation en Hybrid Runbook Worker y grupos de Hybrid Runbook Worker.
Anule el registro de los trabajos híbridos no utilizados o no dinámicos.
Se recomienda que nunca configure la extensión de Hybrid Worker en una máquina virtual que hospeda el controlador de dominio. Los procedimientos recomendados de seguridad no aconsejan esta configuración debido a la naturaleza de alto riesgo de exponer controladores de dominio a posibles vectores de ataque a través de trabajos de Azure Automation. Los controladores de dominio deben estar altamente protegidos y aislados de servicios no esenciales para evitar el acceso no autorizado y mantener la integridad del entorno de Active Directory Domain Services (ADDS).
Certificado de autenticación e identidades
Para la autenticación de runbooks, se recomienda usar identidades administradas en lugar de cuentas de ejecución. Las cuentas de ejecución son una sobrecarga administrativa y tenemos previsto el desuso. Una identidad administrada de Microsoft Entra ID permite que el runbook acceda fácilmente a otros recursos protegidos por Microsoft Entra, como Azure Key Vault. La identidad está administrada por la plataforma Azure y no requiere que aprovisione o rote los secretos. Para más información acerca de las identidades administradas en Azure Automation, consulte Identidades administradas para Azure Automation.
Puede autenticar una cuenta de Automation mediante dos tipos de identidades administradas:
- Una identidad asignada por el sistema está asociada a la aplicación y se elimina si se elimina la aplicación. Una aplicación solo puede tener una identidad asignada por el sistema.
- Una identidad asignada por el usuario es un recurso de Azure independiente que puede asignarse a la aplicación. Una aplicación puede tener varias identidades asignadas por el usuario.
Siga las recomendaciones de procedimientos recomendados de identidad administrada para obtener más detalles.
Rote las claves de Azure Automation periódicamente. La regeneración de claves impide que los futuros registros de nodos de DSC o de trabajo híbrido usen claves anteriores. Se recomienda usar los trabajos híbridos basados en extensiones que usan la autenticación de Microsoft Entra en lugar de las claves de Automation. Microsoft Entra ID centraliza el control y la administración de identidades y credenciales de recursos.
Seguridad de los datos
Proteja los recursos de Azure Automation incluidas credenciales, certificados, conexiones y variables cifradas. Estos recursos se protegen en Azure Automation mediante varios niveles de cifrado. De manera predeterminada, los datos se cifran con claves administradas por Microsoft. Para tener un mayor control sobre las claves de cifrado, puede proporcionar claves administradas por el cliente para usar el cifrado de recursos de Automation. Estas claves deben estar presentes en Azure Key Vault para que el servicio Automation pueda acceder a las claves. Consulte Cifrado de recursos seguros mediante claves administradas por el cliente.
No imprima ninguna credencial ni detalles de certificado en la salida del trabajo. Un operador de trabajo de Automation que es el usuario con pocos privilegios puede ver la información confidencial.
Mantenga una copia de seguridad válida de la configuración de Automation, como runbooks y recursos, asegurándose de que las copias de seguridad se validan y protegen para mantener la continuidad empresarial después de un evento inesperado.
Aislamiento de red avanzado
- Use Azure Private Link para conectar de forma segura instancias de Hybrid Runbook Worker a Azure Automation. El punto de conexión privado de Azure es una interfaz de red que le conecta de forma privada y segura a un servicio de Azure Automation con la tecnología de Azure Private Link. El punto de conexión privado usa una dirección IP privada de la red virtual para traer eficazmente el servicio Automation a la red virtual.
Si quiere acceder a otros servicios y administrarlos de forma privada a través de runbooks desde la red virtual de Azure sin necesidad de abrir una conexión saliente a Internet, puede ejecutar runbooks en una instancia de Hybrid Worker que esté conectado a la red virtual de Azure.
Directivas para Azure Automation
Revise las recomendaciones de Azure Policy para Azure Automation y actúe según corresponda. Consulte Directivas de Azure Automation.
Pasos siguientes
- Para obtener información sobre cómo usar el control de acceso basado en rol de Azure (RBAC de Azure), consulte Administración de los permisos de rol y la seguridad en Azure Automation.
- Para obtener información sobre cómo Azure protege su privacidad y protege los datos, consulte Seguridad de los datos de Azure Automation.
- Para obtener información sobre cómo configurar la cuenta de Automation para usar el cifrado, consulte Cifrado de recursos seguros en Azure Automation.